Gleich. Gelesen.

REGULATORIK NEWSLETTER Q1 2025

20.01.2025 | Newsletter

Die Themen:

  • Der Startschuss ist gefallen: DORA findet Anwendung
  • DORA: Vertragliche Vorgaben für die Zusammenarbeit mit IKT-Drittdienstleistern
  • Die delegierte Verordnung (EU) 2024/1773 (RTS TPPol)
  • Zu den Dokumentationsanforderungen an Finanzunternehmen gemäß DORA
  • Neue EU-Verordnung zu Echtzeitüberweisungen („Instant Payments“)
  • ESG-Regulatorik im Finanzwesen – Ausblick auf 2025
  • NIS-2 Richtlinie: Was uns sonst noch interessiert

Aus anderen Rechtsgebieten:

  • EU-Verordnung zur Kontrolle drittstaatlicher Subventionen (Foreign Subsidies Regulation – „FSR“)

 

Der Startschuss ist gefallen: DORA findet Anwendung

Aber inwieweit machen die gesetzlichen Grundlagen Verpflichtete überhaupt startklar?

Nachdem die Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor (Digital Operational Resilience Act) Anfang 2023 in Kraft getreten ist, wird es nunmehr ernst: DORA ist ab heute anzuwenden. Auch der nationale Gesetzgeber ist deshalb nicht untätig geblieben, sondern hat mit der Veröffentlichung des Finanzmarktdigitalisierungsgesetzes am 27.12.2024 den Schritt zur Umsetzung und Durchführung genommen.

Die Hoffnung allen Anforderungen des europäischen Gesetzgebers und der Aufsichtsbehörden gerecht werden zu können, scheint gleichwohl illusorisch. Um die fünf maßgeblichen Aspekte: das IKT-Risikomanagement, den Umgang mit IKT-bezogenen Vorfällen, das Testen der digitalen operationalen Resilienz, die Überwachung kritischer IKT-Drittdienstleister und das Management des IKT-Drittparteienrisikos, zu regeln, greift DORA umfangreich auf das Instrument der Ermächtigung zu delegierten Rechtsakten und Durchführungsstandards (sog. RTS und ITS) zurück. Diese grundsätzlich bewährte Technik findet allerdings ihre Grenze an lediglich im Entwurf vorliegen Standards. So etwa im Teilbereich des IKT-Drittparteienmanagements die Spezifizierung der Elemente, die ein Finanzunternehmen bei Untervergabe von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen bestimmen und bewerten muss. Dass ein Blick in die vorhandenen Entwürfe dieser RTS keine Garantie auf die Möglichkeit der zutreffenden Umsetzung gewährleistet, zeigt sich in den keinesfalls nur marginalen Änderungen zwischen dem ersten und dem letztlich final veröffentlichten Entwurf. Die zum heutigen Tag „zutreffende“ Umsetzung der Anforderungen aus DORA dürfte daher allenfalls wenigen gelingen. Das Thema „DORA“ sollte folglich auch nach dem heutigen Tag nicht von der Agenda gestrichen werden, sondern dürfte fortlaufend Änderungsbedarf kreieren.

Der unabgeschlossene Prozess betrifft neben internen Themen auch die Vertragsgestaltung mit den IKT-Drittdienstleistern, was am fortdauernden Fehlen der durch viele „DORA-Verpflichtete“ heißersehnten Mustervertragsklauseln der BaFin deutlich wird. Trotzdem sind auch diese Verträge zum heutigen Tag anzupassen und im Zweifel nachträglich aus Behördensicht noch einmal „dorakonform“ zu überarbeiten.

DORA: Vertragliche Vorgaben für die Zusammenarbeit mit IKT-Drittdienstleistern

Da IKT-Risiken sowohl bei der Verwendung eigener Technologien als auch bei der Zusammenarbeit mit Drittdienstleistern entstehen können, legt DORA in Kapitel V Anforderungen für Auslagerungsverträge zwischen insbesondere Finanzunternehmen und IKT-Drittdienstleistern fest.

Die BaFin hat am 08.07.2024 Umsetzungshinweise zu DORA veröffentlicht, die als unverbindliche Hilfestellung für Finanzunternehmen dienen. Diese Hinweise enthalten – nicht abschließende – Mindestvertragsinhalte, die für die DORA-Vertragscompliance mit IKT-Drittdienstleistern relevant sind. Mit der nationalen Umsetzung der DORA beabsichtigt die BaFin, die bisherigen aufsichtsrechtlichen Anforderungen an die IT (BAIT/VAIT/KAIT/ZAIT) aufzuheben. Zukünftig wird DORA somit die alleinige Grundlage für die Ausgestaltung der Verträge über IKT-Dienstleistungen sein, wobei sich deren spezifische Anforderungen von den bisherigen IT-Regelungen unterscheiden können.

Durch die deutliche Ausweitung des Anwendungsbereichs sowie der von DORA festgelegten verpflichtenden Vertragsinhalte ist in vielen Fällen eine Neu- oder Nachverhandlung der Verträge mit IKT-Drittdienstleistern erforderlich. Hieraus folgt zunächst die Verpflichtung der Finanzunternehmen, sämtliche relevanten IKT-Verträge zu ermitteln, um diese einer eingehenden Überprüfung zu unterziehen. Im Anschluss daran muss eine präzise rechtliche Analyse jedes einzelnen Vertrags im Hinblick auf die Anforderungen der DORA durchgeführt werden, beginnend mit der Einstufung der Verträge als solche zur Unterstützung einer kritischen oder nicht kritischen Funktion und anschließend einer detaillierten rechtlichen Beurteilung, ob sie die spezifischen Anforderungen von DORA erfüllen.

Art. 30 DORA gibt dabei die wesentlichen Vertragsbestimmungen vor, die zukünftig in allen Vereinbarungen über die Nutzung von IKT-Dienstleistungen enthalten sein müssen. Solche Vereinbarungen müssen nach Art. 30 Abs. 1 DORA schriftlich erfolgen, also entweder in Papierform oder in einem Dokument in einem anderen herunterladbaren, dauerhaften und zugänglichen Format. Zu den Mindestinhalten gehören gemäß Artikel Art. 30 Abs. 2 DORA etwa eine klare Beschreibung der IKT-Dienstleistungen, Bereitstellungsstandorte und Meldepflichten bei Änderungen, Datenschutz- und Vertraulichkeitsregelungen, Regelungen für den Fall der Insolvenz des Dienstleisters und zur Unterstützung bei einem IKT-Vorfall, Service Level Agreements, sowie Kündigungsrechte. Zusätzlich zu den allgemeinen Anforderungen müssen nach Art. 30 Abs. 3 DORA für Vereinbarungen, die IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen betreffen, erweiterte Mindestinhalte wie präzise Leistungsziele, Berichtspflichten, Notfallpläne und Ausstiegsstrategien vereinbart werden.

Weitere vertragliche Anforderungen ergeben sich aus den Artikeln 26, 28 und 29 DORA. Diese umfassen unter anderem die Verpflichtung zur Teilnahme an gemeinsamen IKT-Systemtests, Regelungen zu Kündigungsrechten und Übergangsprozessen sowie Vorgaben zur Vergabe von Unteraufträgen.

Die BaFin erwartet, dass sämtliche Verträge entweder bereits neu abgeschlossen oder nachverhandelt sind oder ein dokumentierter Implementierungszeitplan vorliegt. Das bloße Abwarten auf die – wie oben erwähnt – noch nicht veröffentlichten Standardvertragsklauseln (Art. 30 Abs. 4 DORA) reicht somit nicht aus.

Die delegierte Verordnung (EU) 2024/1773 (RTS TPPol)

Mittelbare gesetzliche Vorgaben an den Inhalt eines Vertrags mit einem IKT-Drittdienstleister?

Mit der am 13.03.2024 veröffentlichten Verordnung (EU) 2024/1773 (RTS TPPol) liegt für einen Teilbereich der DORA-Vorgaben das Regelwerk bereits abschließend vor.

Gemäß Art. 28 Abs. 2 Satz 2 DORA haben Finanzunternehmen im Rahmen ihrer Strategie zum IKT-Drittparteienrisiko eine Leitlinie für die Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen aufzusetzen. Um den detaillierten Inhalt dieser Leitlinie weiter zu spezifizieren, wurde der Kommission in Art. 28 Abs. 10 DORA die Befugnis übertragen, den von den Europäischen Aufsichtsbehörden erarbeiteten Entwurf für technische Regulierungsstandards anzunehmen und auf diese Weise die Vorgaben von DORA in Form der o.g. delegierten Verordnung zu ergänzen.

Die RTS TPPol (Regulatory Technical Standards Third-Party Policy) enthält konkrete Anforderungen an den Inhalt der von einem Finanzunternehmen aufzusetzenden Leitlinie für die Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen. Dies spiegelt sich – der dargelegten Systematik folgend – auch in dem Wortlaut der einzelnen Vorschriften wieder, wonach in der Leitlinie bestimmte Aspekte vorzusehen oder festzulegen sind. So bestimmt Art. 8 RTS TPPol, der sich ausweislich seiner Überschrift mit „Vertragsklauseln“ befasst, welche Elemente in Bezug auf vertragliche Vereinbarungen mit IKT-Drittdienstleistern in der Leitlinie festzulegen sind. Aus dem Wortlaut der Vorschrift ergibt sich somit eindeutig, dass sie allein Anforderungen an den Inhalt der Leitlinie stellt, nicht aber einen bestimmten Inhalt der vertraglichen Vereinbarungen mit einem IKT-Drittdienstleister vorschreibt. Dieser Befund wird noch dadurch verstärkt, dass Art. 8 Abs. 1 Satz 1 RTS TPPol ausdrücklich darauf verweist, dass die vertragliche Vereinbarung mit einem IKT-Drittdienstleister alle in Art. 30 Abs. 2 und 3 DORA genannten Elemente enthalten müsse.

Zumindest die BaFin ist jedoch zu der Einschätzung gelangt, dass sich aus Art. 8 RTS TPPol originär über Art. 30 DORA hinaus weitere Vorgaben an den Mindestvertragsinhalt mit IKT-Drittdienstleistern ergeben. Wie aus Kreisen der Bankenaufsicht – wenngleich nur als persönliche Ansicht – verlautet, sollte sich ein Finanzunternehmen nicht auf den (im Grunde klaren) Wortlaut verlassen. Würde bei einer Prüfung festgestellt werden, dass zwar in der Leitlinie die Elemente gemäß den Vorgaben der RTS TPPol an deren Inhalt enthalten seien, diese sich aber in dem mit dem IKT-Drittdienstleister geschlossenen Vertrag nicht wiederfinden lassen, würde zumindest kritisch darauf geschaut werden, ob der Grund für diese Abweichung von der Leitlinie im Einzelfall ausreichend und nachvollziehbar dokumentiert worden ist.

Somit nimmt die RTS TPPol über ihren Wortlaut hinaus doch mittelbar Einfluss auf den Vertragsinhalt mit IKT-Drittdienstleistern – eine Materie, die sie gar nicht regeln soll – bzw. erweitert die Dokumentationspflichten.

Zu den Dokumentationsanforderungen an Finanzunternehmen gemäß DORA

Eine beispielhafte Übersicht

Die Dokumentationsanforderungen in der DORA-Verordnung sind vielfältig und dazu in unterschiedlichen Rechtstexten zu finden. Zum einen in der Verordnung selbst, darüber hinaus aber auch in den bereits erwähnten Technischen Regulierungs- und Durchführungsstandards. Ab dem heutigen Tag kommen diese zur Anwendung und die BaFin prüft ab jetzt, ob die Unternehmen sie erfüllen. Das kann und wird die verpflichteten Unternehmen vor große Herausforderungen stellen, auch wenn nicht alle Anforderungen neu sind. Inwiefern den Unternehmen dies gelingen wird, wird sich vermutlich zeigen, wenn die BaFin die ersten Prüfungen durchgeführt hat, denn nicht alle Regelungen sind auf den ersten Blick eindeutig.

Finanzunternehmen müssen beispielsweise eine umfassende IKT-Strategie dokumentieren, die Teil ihres Gesamtrisikomanagementsystems ist. Sie sollte eine Risikobewertung, Präventionsmaßnahmen und geplante Vorgehensweisen für den Umgang mit Cyberangriffen enthalten. Eine wesentliche Dokumentationspflicht besteht in der vollständigen Dokumentation der IKT-Umgebung, einschließlich aller Systeme, Prozesse, Netzwerke und Anwendungen, die geschäftskritische Funktionen unterstützen. Ein zentraler Punkt betrifft die Dokumentation der Risikobewertung, bei der IKT-Risiken identifiziert und mögliche Auswirkungen auf den Geschäftsbetrieb bewertet werden müssen. Darüber hinaus sollen Maßnahmen zur Risikominderung dokumentiert werden. Für den Fall eines Cybervorfalls oder IKT-Ausfalls sind Notfallpläne und Wiederherstellungsstrategien zu erstellen, zu dokumentieren und regelmäßig zu aktualisieren. Hierdurch soll sichergestellt werden, dass der Betrieb aufrechterhalten bleibt. IKT- und Cybervorfälle sind im Falle des Eintritts zu protokollieren, einschließlich der ergriffenen Maßnahmen und des Ergebnisses.

Diese Anforderungen sollen sicherstellen, dass Finanzunternehmen robuste Prozesse und Systeme haben, um IKT-Risiken zu managen, Cyberangriffe abzuwehren und operationelle Kontinuität zu gewährleisten. Bei der Anwendung sollen die Finanzunternehmen gem. Art. 4 DORA den Grundsatz der Verhältnismäßigkeit beachten, d.h. ihrer Größe und ihrem Gesamtrisikoprofil sowie der Art, dem Umfang und der Komplexität ihrer Dienstleistungen, Tätigkeiten und Geschäfte Rechnung tragen.

Neue EU-Verordnung zu Echtzeitüberweisungen („Instant Payments“)

Mit der der sog. „Instant Payment Verordnung“ (Verordnung (EU) 2024/886), welche die SEPA-Verordnung (EU) Nr. 260/2012 und die Verordnung (EU) 2021/1230 über grenzüberschreitende Zahlungen in der EU abändert, werden neue Regelungen für Echtzeitüberweisungen („Instant Payments“) in der gesamten EU geschaffen und Zahlungsdienstleister verpflichtet, entsprechende Lösungen anzubieten. Die Verordnung sieht insbesondere vor, dass Zahlungen innerhalb von maximal 10 Sekunden ausgeführt werden müssen, sodass der Betrag nahezu in Echtzeit dem Empfänger gutgeschrieben wird. Ferner müssen Echtzeitüberweisungen rund um die Uhr und an allen Tagen im Jahr verfügbar sein. Die Verordnung legt zudem fest, dass Entgelte, die ein Zahlungsdienstleister für die Versendung und Entgegennahme von Echtzeitüberweisungen erhebt, nicht höher sein dürfen als die Entgelte, die der Zahlungsdienstleister für sonstige Überweisungen erhebt. Durch die vorgenannten Regelungen möchte der EU-Gesetzgeber eine breitere Nutzung von Echtzeitüberweisungen erreichen, so dass diese auch im stationären Handel sowie im Onlinehandel eine Alternative zur etablierten Zahlverfahren wie etwa Kartenzahlungen darstellen könnten.

Ein weiteres Ziel der Verordnung ist es, die Sicherheit von Echtzeitüberweisungen zu erhöhen, in dem der Zahlungsdienstleister verpflichtet wird, vor Durchführung der Echtzeitüberweisung eine „Empfängerüberprüfung“ anzubieten. Demnach hat der Zahlungsdienstleister zu überprüfen, ob die Angaben des Auftraggebers zur IBAN und dem Namen des Zahlungsempfängers zusammenpassen und muss diesen ggf. auf einen etwaigen Fehler hinweisen. Nach der bisherigen Rechtslage muss der Zahlungsdienstleister gemäß § 675r BGB lediglich eine Überprüfung der IBAN, nicht aber des Namens des Empfängers vornehmen. Durch die mit der Verordnung eingeführte Empfängerüberprüfung möchte der EU-Gesetzgeber das Vertrauen des Zahlungsdienstnutzers in Echtzeitüberweisungen stärken und diesen vor Betrugsmaschen schützen.

Die Verordnung bringt für die Zahlungsdienstleister jedoch sowohl rechtliche als auch IT-technische Herausforderungen mit sich. Zu beachten ist insoweit, dass die Vorgabe der Verordnung eine Echtzeitüberweisung innerhalb von 10 Sekunden auszuführen in Konflikt mit den Vorschriften aus dem GwG geraten kann, wonach Transaktionen, bei denen der Verdacht eines Zusammenhangs mit Geldwäsche oder Terrorismusfinanzierung besteht, unter bestimmten Voraussetzungen nicht ausgeführt werden dürfen.

Zahlungsdienstleister aus Mitgliedsstaaten, deren Währung der Euro ist, sollen ihren Zahlungsdienstnutzer bis zum 09.01.2025 den Empfang und bis zum 09.10.2025 die Versendung von Echtzeitüberweisungen entsprechend den Vorgaben der Verordnung anbieten.

ESG-Regulatorik im Finanzwesen – Ausblick auf 2025

Druckfrisch: Leitlinien ESG der EBA

In Ergänzung der Leitlinien zur internen Governance sowie Kreditvergabe und -überwachung hat die Europäische Bankenaufsichtsbehörde (EBA) am 09.01.2025 den Abschlussbericht mit Leitlinien für die Risikomanagementprozesse von Finanzinstituten im Zusammenhang mit ESG-Risiken veröffentlicht. Diese enthalten

  • Mindeststandards und Referenzmethoden für die Identifizierung, Messung, Steuerung und Überwachung von ESG-Risiken.
  • Qualitative und quantitative Kriterien für die Bewertung der kurz-, mittel und langfristigen Auswirkungen von ESG-Risiken auf das Risikoprofil und die Solvenz der Institute.
  • Die Ausgestaltung der vom Leitungsorgan erstellten Pläne zur zeitlichen und inhaltlichen Umsetzung der Risikoüberwachung und -minimierung.

Wie neu: Europäische Green-Bonds-Verordnung seit 21.12.2024 in Kraft

Emittenten müssen künftig bei der Emission von „European Green Bonds“ strenge Anforderungen an ökologische Nachhaltigkeitskriterien erfüllen, die durch externe Prüfberichte validiert sein müssen. Über diese Veröffentlichungen muss die Europäische Wertpapier- und Marktaufsichtsbehörde (ESMA) und in Deutschland die BaFin unterrichtet werden.

Damit soll Verbrauchern, Unternehmen und institutionellen Investoren die Einschätzung grüner, nachhaltiger oder ökologischer Anlageprodukte erleichtert werden. Wie für andere Anleihetypen auch ist ein geprüfter Wertpapierprospekt zu veröffentlichen. Die Aufsicht obliegt in Deutschland ebenfalls der BaFin.

Lesestoff: Veröffentlichung der Nachhaltigkeitsberichterstattung

Auf der Grundlage der CSRD (Corporate Sustainability Reporting Directive) müssen Unternehmen, die schon vorher berichtpflichtig waren, im Jahr 2025 erstmals über das Geschäftsjahr 2024 entsprechend der CSRD über ihre Umwelt- und Sozialauswirkungen berichten während alle großen Unternehmen, die mindestens zwei Kriterien (Bilanzsumme ≥ 25 Mio. Euro, Nettoumsatzerlöse ≥ 50 Mio. Euro, Zahl der Beschäftigten ≥ 250) erfüllen, den ersten Bericht im Jahr 2026 auf Basis des Jahres 2025 veröffentlichen müssen.

Begleiterscheinung: Aktuelle Klagen zum Thema Greenwashing

Nach Klagen der Verbraucherschutzzentrale Baden-Württemberg wurde auch eine Anlegerklage gegen die Fondsgesellschaft DWS wegen des Vorwurfs des Greenwashings bei dem Landgericht Frankfurt eingereicht, über die am 25.03.2025 verhandelt wird. Der erworbene Fonds, der die Buchstaben ESG im Namen trägt, soll als nachhaltiger dargestellt worden sein, als er tatsächlich war.

Das Risiko einer Klagewelle wegen Prospekthaftung, fehlerhafter Anlageberatung oder deliktischer Haftung ist ungeachtet oder gerade wegen der unzähligen Vorgaben in der unübersichtlichen und teilweise widersprüchlichen Regulatorik hoch. Die Klagemöglichkeiten sind fast so vielzählig wie die zu beachtenden Regelwerke: neben Individualklage sind die Musterfeststellungsklage und das Kapitalanleger-Musterfeststellungsverfahren zu nennen, das jüngste Kind trägt den Namen Abhilfeklage.

NIS-2 Richtlinie: Was uns sonst noch interessiert

Nicht nur das Finanzwesen ist verpflichtet Vorkehrungen für mehr Cybersicherheit aufzubauen, auch Unternehmen im Bereich der kritischen Infrastruktur sind gefragt. Hierfür wurde von der EU bereits am 14.12.2022 die NIS-2 Richtlinie (EU 2022/2555) erlassen. Die in den letzten Jahren vermehrt auftretenden (u.a. aus dem Ausland vorgenommene staatlichen) Cyberangriffen rechtfertigen sicherlich ein koordiniertes, EU-weites Handeln, um den Binnenmarkt und die Infrastruktur besser zu schützen. Die Umsetzung in den nationalen Staaten ist allerdings nicht derartig vorangeschritten wie vorgesehen, die Umsetzungsfrist endete bereits am 17.10.2024. Die EU-Kommission sah sich veranlasst an 23 von 27 Mitgliedstaaten Aufforderungsschreiben zur Umsetzung der Richtlinie zu versenden. Auch Deutschland hat die Frist versäumt. Stand heute soll die Richtlinie im nationalen Recht jedenfalls mit dem NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz umgesetzt werden, welches insbesondere das BSIG (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik) ändern soll. Bislang liegt lediglich ein von der Bundesregierung verabschiedeter Entwurf vor.

Das BSIG-E betrifft eine Vielzahl von Unternehmen diverser Branchen und verpflichtet diese Maßnahmen zum Schutz ihrer Netz- und Informationssicherheit umzusetzen. Den Anwendungsbereich regelt § 28 BSIG i.V.m. Anlagen 1 und 2. In Anlage 1 sind als Sektoren besonders wichtiger und wichtiger Einrichtungen u.a. aufgeführt: Energie, Verkehr, Bank- und Finanzmarktinfrastrukturen, Digitale Infrastruktur (beispielsweise die Betreiber von Rechenzentren oder Internetknoten), Verwaltung von IKT-Diensten Gesundheitswesen sowie die öffentliche Verwaltung. Unternehmen unterfallen dem Anwendungsbereich, wenn sie mindestens 250 Mitarbeiter beschäftigen oder einen Jahresumsatz von über 50 Millionen und eine Jahresbilanzsumme von über 43 Millionen Euro aufweisen. In Anlage 2 sind die Sektoren wichtiger Einrichtungen aufgeführt: u.a. Post- und Kurierdienste, Produktion/Handel/Vertrieb von Lebensmitteln, Verarbeitung und Herstellung von Waren (auch die Automobilbranche zählt dazu) sowie Anbieter digitaler Netzwerke wie beispielsweise Online-Marktplätze. Unternehmen unterfallen der Anwendung des Gesetzes, wenn sie mindestens 50 Mitarbeiter beschäftigen oder einen Jahresumsatz und eine Jahresbilanzsumme von über 10 Millionen aufweisen. Bedenkt man die breite Palette der betroffenen Branchen ist es erstaunlich, wie wenig über die Umsetzung der NIS-2 Richtlinie und der Richtlinie selbst berichtet wird.

Die vorgesehenen Maßnahmen folgen jedenfalls dem bekannten Muster der EU-Gesetzgebung und ihren bevorzugten Werkzeugen. So sind beispielsweise von den Unternehmen Cyber-Risikomanagementsysteme einzurichten und zu überwachen. Ferner ist vorgesehen, dass bei IT-Sicherheitsvorfälle die Unternehmen verschärften Meldevorschriften unterfallen. Wesentlich und von Interesse dürfte auch die vorgesehene persönliche Haftung der Geschäftsleitung sein, die dann eingreift, wenn die Pflichten zum IT-Risikomanagement und die Überwachung dessen schuldhaft verletzt werden.

Betroffene Unternehmen sind daher sicherlich gut beraten, wenn sie sich mit den Pflichten resultierend aus der Richtlinie und dem Entwurf des nationalen Gesetzes bereits jetzt befassen und zumindest erste Vorkehrungen treffen. Aufgrund des zeitlichen Drucks bzgl. der Umsetzung der NIS-2 Richtlinie ist damit zu rechnen, dass das Umsetzungsgesetz zügig in Kraft tritt.

EU-Verordnung zur Kontrolle drittstaatlicher Subventionen (Foreign Subsidies Regulation – „FSR“)

Erste Anwendungspraxis der EU-Kommission

Die EU-Verordnung zur Kontrolle drittstaatlicher Subventionen (Foreign Subsidies Regulation – „FSR“) VO (EU) Nr. 2022/2560, ABl. L 330/1) gilt seit dem 12. Juli 2023. Sie regelt Anmeldepflichten der Beteiligten bei der EU-Kommission bez. Invests, Unternehmenszusammenschlüssen, öffentlichen Auftragsvergaben und sonstigen Transaktionen, an denen ein Akteur beteiligt ist, der bzw. dessen Unternehmensverbund aus einem Drittstaat (außerhalb der EU) stammt. Die EU-Kommission prüft dann, ob es drittstaatliche Subventionen zu Gunsten dieses Akteurs gibt, die eine wettbewerbsverzerrende Wirkung haben könnten. Dabei definiert die FSR den Begriff der Subvention deutlich weiter als z.B. das EU-Beihilferecht: So liegt eine FSR-Subvention bereits in jeder Leistung in einem Drittstaat oder in jedem Entgelt dafür, damit in jedem Zahlungsfluss aus oder in dem Drittstaat.

Die Anmeldepflichten greifen, wenn die Transaktion die in der FSR geregelten Schwellenwerte übersteigt. Bei Unternehmenszusammenschlüssen bestehen sie neben (und unabhängig von) denjenigen z.B. nach Fusionskontrollrecht. Die EU-Kommission kann aber auch „von Amts wegen“ eine FSR-Prüfung durchführen, z.B. wenn die Schwellenwerte nicht erreicht werden oder die EU-Kommission andere Anhaltspunkte für eine mögliche Wettbewerbsverzerrung aufgrund einer FSR-Subvention sieht.

Während der Prüfung durch die EU-Kommission darf die Transaktion nicht vollzogen werden. Die Prüffristen sind denkbar weit; die FSR bestimmt zwar feste Fristen, fasst den Fristbeginn aber sehr vage. Bejaht die EU-Kommission eine wettbewerbsverzerrende Wirkung, kann sie die Transaktion mit Auflagen versehen oder – auch nachträglich – ganz untersagen. Kommt ein Beteiligter seiner Anmeldepflicht nicht nach oder kooperiert er im Prüfverfahren nicht (hinreichend), kann die EU-Kommission Geldbußen und Zwangsgelder verhängen.

Die EU-Kommission hat ihr Vorgehen in FSR-Verfahren nunmehr in ihren Auslegungshinweisen vom 26.07.2024 (SWD (2024) 201 final) konkretisiert; zudem gibt es erste praktische Erfahrungen mit ihrer Handhabung der FSR.

Danach hält die EU-Kommission z.B. zinslose oder vergünstigte Darlehen sowie Garantien an den Akteur aus oder in dem Drittstaat per se für wettbewerbsverzerrend und legt ihm den Beweis des Gegenteils auf, will er Sanktionen vermeiden. In der Praxis nimmt die EU-Kommission vor allem chinesische Unternehmen in den Blick. So hat sie im Frühjahr 2024 von Amts wegen Durchsuchungen bei einem chinesischen Tochterunternehmen an dessen Standorten in den Niederlanden und in Polen zum Auffinden von Beweismaterial veranlasst. Bei öffentlichen Auftragsvergaben hat die EU-Kommission die Beteiligung von Herstellern von Photovoltaikanlagen und elektrischen Triebzügen kritisch geprüft; diese haben darauf ihre Angebote zurückgezogen. Allein im Zeitraum Oktober 2023 bis Januar 2024 hat die EU-Kommission 14 Unternehmenszusammenschlüsse aufgegriffen; in insgesamt 53 Fällen fanden zudem Vorgespräche zwischen ihr und betroffenen Akteuren zur Klärung von FSR-Sachverhalten statt.

Eine erste Bilanz zeigt damit, dass die EU-Kommission gewillt ist, von den FSR-Instrumenten umfangreich Gebrauch zu machen. Angesichts der Komplexität der Maßnahmen und ihrer weitreichenden Wirkungen sollten Unternehmen mögliche Anknüpfungspunkte an FSR-Tatbestände frühzeitig und fortlaufend prüfen. Kreditgeber oder sonst beteiligte Finanzinstitute sollten ein entsprechendes „Compliance-Frühwarnsystem“ bei sich und bei den Unternehmen nachhalten, um Transaktionen nicht zu gefährden. Insbesondere die Erfahrungen mit den Ermittlungen der EU-Kommission von Amts wegen zeigen zudem, dass solche Compliance-Strukturen unabhängig von einer bestimmten Transaktion etabliert werden sollten.